本文由2015年支付宝特别奖得主丁羽、黎桐辛、韦韬共同编写，其中丁羽和韦韬来自百度x-lab，j2直播，黎桐辛来自北京大学。文章来自微信公众号“百度安全实验室”，雷锋网获授权发布。

引言     

电子商务已经成为当今互联网中重要的组成部分。同时“钱包”类服务成为了电子商务的关键组件。越来越多的电商服务通过“钱包”服务来进行支付。“钱包”提供的接口简单易用，任何一个开发者都可以快速的将“钱包”服务供应商提供的SDK整合进自己的App中，提供App内的快速支付手段。目前国内最大的“钱包”类服务包括：支付宝钱包、微信钱包、百度钱包等，各有长处。      

因此，支付过程的安全问题也成为了关键。如果钱包服务出现了安全漏洞，那么很可能会影响到成千上万的商家，数十亿的现金流，后果往往非常严重。对于支付平台的安全研究自从其诞生之日起就开始了。经过数次血的教训，几大支付平台均修正了数个大大小小的漏洞，反复改进设计和实现。现今的支付平台已经相当安全可靠。

本文对借助支付平台进行的支付流程进行分析，对支付平台的安全进行讨论。同时我们展示了商户端和支付平台出现过的几个严重安全漏洞。攻击者通过这几个安全漏洞可以达到修改金额、任意购买等效果，使得支付平台和商户的利益收到巨大损失。本文中涉及的安全漏洞均已得到修正。

一、支付流程概述

目前市场上的大大小小的第三方支付平台有许多家，规模有大有小但是从整个支付流程上看这些支付平台的同质化程度很高。只有少数很大的支付平台做出了比较大的改动，进一步增强了安全性。这一节我们对支付平台普遍采用的支付协议做下介绍。

在支付流程中主要包括四个实体：商户前端、商家服务器、钱包模块、以及钱包服务器。商户前端是用户直接交互的部分，用户通过操作商户前端来购买商品等。这里商户前端不仅限于移动设备上安装的App，也可以是商家提供的网站。商家服务器是商户的后端，提供相应的服务。钱包模块是进行支付的“中介”，如支付宝、微信钱包、百度钱包等都有对应的支付模块。

通常支付模块可以是用户App中的一个SDK，与商户App一起安装在用户的手机上。支付模块也可以以web的形式提供服务。钱包服务器负责处理支付请求，并通知商家服务器支付结果。钱包服务需要与钱包模块交互以获得订单信息，同时需要与相关的机构（例如银行）进行扣款处理，最后与商家服务和钱包模块进行通讯以通知支付结果。因此整个支付过程是一个"四方通讯"的过程。一笔成功交易的后面通常包含四方之间数十次的复杂交互，任何一个环节的安全隐患都会扩大整个支付过程的攻击面。多个安全隐患的叠加可能使得攻击者可以进行订单篡改等攻击，使用户、商户、钱包服务的利益收到损失。

一个完整的经由支付平台的支付过程通常可以划分为以下几步：

1.商户前端对钱包初始化

2.商户前端与商户服务交互，创建订单

3.商户前端经由钱包，对订单进行支付

4.钱包与钱包服务器通讯，钱包服务器进行扣款，通知钱包和商户服务器支付结果。

5.商户前端从钱包的支付返回中获取结果，并和商户服务器进行确认。

6.支付完成，商户获得对应款项。

下面我们来介绍支付的四方通讯的详细过程。

图1 支付过程的四方通讯

1. 商户前端与钱包模块进行通讯，对钱包进行初始化。在这个过程中通常需要用户登录自己的钱包账户，进行必要的认证等操作。

2. 钱包模块初始化完成，开奖，返回到用户App中。

3. 商户前端与商家服务器通讯，建立订单。带有的参数通常包括用户信息、需要购买的商品id、时间戳、商品金额、钱包类型等。

4. 商家将订单参数返回给商户前端，带有的参数通常包括：订单号(order_no)、支付金额(total_fee)、支付结果通知地址(notify_url)、消息完整性签名(sign)等。此时也有另一种实现，即虚线部分的4'。在4'中，商户服务将大量参数直接通知给钱包服务，而只返回给用户一个简短的消息，包括一个钱包服务返回给商家服务的交易事务id。此后用户只需通过钱包对这个交易事务id进行支付即可。

5. 商户前端对商户返回的信息进行包装，发送给钱包模块。

6. 钱包模块与钱包服务进行交互，带有的参数包括用户的钱包session等信息，以及步骤4中返回的订单信息等。